Seguridad Informática en Argentina

Transcripción

1 Seguridad Informática en Argentina Marcia Maggiore, Especialista en Seguridad Informática (UBA) 1, CISA María Patricia Prandini, MAS, Especialista en Seguridad Informática (UBA) 2, CISA Contenido I. Introducción 3 II. Estructura de la encuesta 3 Demografía 4 Presupuesto 4 Fallas de Seguridad 4 Herramientas y prácticas de seguridad informática 4 Políticas de Seguridad 4 Capital intelectual 4 III. Análisis de datos 4 1. Demografía 5 Distribución geográfica 5 Sectores Participantes 6 Cantidad de empleados de la organización 7 Dependencia organizacional del Área de Seguridad Informática 7 Cargos que ocupan quienes respondieron la encuesta 9 2. Presupuesto 10 Presupuesto asignado a Seguridad Informática 10 Destino de la inversión en Seguridad Informática Fallas de Seguridad 13 Nivel de Concientización 13 Cantidad y Tipos de Fallas de Seguridad 15 Detección, notificación y principales preocupaciones respecto de los incidentes Herramientas y prácticas de seguridad 19 Evidencia digital 19 Cantidad de Pruebas de Seguridad 20 Mecanismos para proteger los sistemas de información 21 Medios de información respecto de las fallas de seguridad Políticas de seguridad 23 Estado de las políticas de Seguridad y principales obstáculos para implementarlas 23 Existencia de relaciones con organizaciones nacionales y/o internacionales para colaborar o recibir asistencia ante incidentes 25 Estándares y buenas prácticas utilizadas Capital intelectual 27 Cantidad de personal y años de experiencia 27 1 Título en trámite 2 Título en trámite Pág. 1

2 Certificaciones que actualmente poseen quienes trabajan en Seguridad Informática y las que deberían poseer 29 Papel de la Instituciones Educativas 31 IV. Conclusión 32 Pág. 2

3 I. Introducción Cuantificar es un aspecto crítico del proceso de toma de decisiones en cualquier actividad y particularmente en materia de seguridad de la información, campo en el que, por su novilidad, por las reservas que existen para compartir información, por la falta de métricas o por otros motivos, resulta dificultoso contar con información precisa y actualizada. Con esta certeza, la Asociación Argentina de Usuarios de la Informática y las Comunicaciones (USUARIA y el Capítulo Argentino de ISACA (Information System Audit and Control Association se sumaron durante el año 2010 a los esfuerzos de la Asociación Colombiana de Ingenieros de Sistemas (ACIS y de otras entidades de México, Paraguay y Uruguay, para colectar información relativa a diversos aspectos de la seguridad de la información en Latinoamérica. La información correspondiente a Argentina fue recopilada tomando como base 42 respuestas válidas recibidas, a partir de alrededor de 360 invitaciones distribuidas oportunamente por correo electrónico entre marzo y abril del presente año. Si bien esta muestra es relativamente pequeña, se considera valiosa en razón de ser la primera vez que se realiza en nuestro país una encuesta de esta naturaleza y extensión. Por otro lado, cabe acotar que las invitaciones fueron dirigidas exclusivamente a CIOs, Directivos de áreas de Tecnologías de la Información, Auditores de Sistemas y Responsables de Seguridad Informática, lo cual implicó una selección previa para circunscribir los destinatarios sólo a personal especializado, directamente ligados a la temática a analizar. En este sentido, queremos agradecer a quienes realizaron el esfuerzo de completarla, entendiendo que los datos provistos contribuirán a profundizar el conocimiento de la seguridad información en nuestro país y en la región. El presente informe resume mediante gráficos los aspectos más relevantes de la encuesta realizada y formula una serie de conclusiones respecto al estado de la seguridad en nuestro país, en función de las respuestas recibidas. II. Estructura de la encuesta La encuesta se realizó sobre la base de un cuestionario publicado por ACIS a través de un formulario interactivo en su sitio de Internet, compuesto por 35 preguntas centradas en los siguientes aspectos: 1. Demografía 2. Presupuestos 3. Fallas de seguridad 4. Herramientas y prácticas de seguridad 5. Políticas de seguridad 6. Capital intelectual Pág. 3

4 Demografía Esta sección identifica los sectores que participan, el tamaño de la organización en la que se desenvuelve quien responde la encuesta, la dependencia organizacional del área de seguridad y los cargos de las personas que responden las preguntas. Presupuesto En este capítulo se analiza si las organizaciones han destinado uno o varios rubros de su presupuesto a la seguridad informática y revisa el tipo de tecnología en el que se invierte y el monto de la inversión en seguridad informática. Fallas de Seguridad Esta sección permite analizar los tipos de fallas de seguridad o intrusiones más frecuentes, la forma en que se detectaron y a quien o quienes fueron notificadas. Busca identificar las causas por las cuales no se denuncian y si existe conciencia sobre la importancia de la evidencia digital para una mejor atención de los incidentes de seguridad informática. Herramientas y prácticas de seguridad informática En este segmento de la encuesta, el objetivo es identificar las prácticas de las empresas sobre la seguridad, los dispositivos o herramientas que con más frecuencia utilizan para el desarrollo de la infraestructura tecnológica y las estrategias que emplean las organizaciones para enterarse de las fallas de seguridad. Políticas de Seguridad Con este grupo de preguntas se propone indagar sobre la formalidad que tienen las políticas de seguridad en la organización, los principales obstáculos para lograr un adecuado nivel de seguridad, las buenas prácticas que se implementan y los estándares que se utilizan. Capital intelectual Esta última sección se propone conocer la demanda de profesionales en el área de la seguridad de la información y la importancia que tienen las certificaciones para las organizaciones. III. Análisis de datos A continuación se presentan los resultados en cantidad y porcentajes de la encuesta realizada, categorizados según cada pregunta, y se realizan algunos comentarios de interpretación de los datos recolectados. Pág. 4

5 1. Demografía Distribución geográfica Estado / Provincia Porcentaje Cordoba 48% Buenos Aires 26% Ciudad Autónoma de Buenos Aires Entre Ríos San Juan Misiones Rio Negro Santa Fe Desconocido Distribución por provincia Cordoba Entre Ríos Desconocido 26% Misiones 49% Rio Negro Santa Fe Ciudad Autónoma de Buenos Aires San Juan Buenos Aires Comentarios generales: Se observa que la mayoría de las respuestas provienen de profesionales ubicados en la Ciudad Autónoma de Buenos Aires, capital de la Argentina, seguidas por la Provincia del mismo nombre, colindante con la anterior. Estos resultados acompañan la concentración geográfica que representa el denominado Gran Buenos Aires, megalópolis que ocupa la zona del extenso corredor urbano que se extiende sobre las costas del Río de La Plata y en el que se ubican las sedes administrativas de las empresas más importantes del país y del Gobierno Nacional. Se obtuvieron también respuestas de las provincias de Entre Ríos, Córdoba, Misiones, Río Negro, Santa Fe y San Juan. Un no precisó la provincia de origen. Pág. 5

6 Sectores Participantes Sector Porcentaje Servicios Financieros y Banca 26% Consultoría Especializada 21% Gobierno / Sector Público 21% Energía 7% Telecomunicaciones 7% Retail Farmacéutica Importador Salud Seguros Soluciones IT Distribución por Sector Servicios Financieros y Banca 7% 27% Consultoría Especializada Gobierno / Sector público Sector de Energía Telecomunicaciones Retail 7% Farmaceutica Importador 2 2 Salud Seguros/Sector Publico Soluciones IT Comentarios generales: El mayor porcentaje de respuestas provino del Sector Financiero, seguido muy de cerca por el Área de Consultoría Especializada y el Sector Público. Estos tres grupos representan el 70% de las respuestas, encontrándose todos ellos entre las áreas de mayor desarrollo tecnológico de nuestro país, y en el caso del gobierno y la banca, de las más reguladas. Esta última en particular, se encuentra fuertemente supervisada por el Banco Central de la República Argentina, en cuanto al cumplimiento de una serie de requisitos en materia de Seguridad de la Información. A los sectores ya mencionados, se agregan con porcentajes menores respuestas de los sectores de la Energía y las Comunicaciones, el Retail, la Farmacéutica, la Importación, la Salud, los Seguros y las Soluciones de TI. Pág. 6

7 Cantidad de empleados de la organización Cantidad de Empleados Porcentaje Más de % 501 a a a 300 7% 101 a 200 7% 51 a a 50 24% Cantidad de empleados en la organización 4 40% 3 30% 2 20% 1 0% Más de a a a a a a 50 Comentarios generales: Puede observarse que prevalece un mayor porcentaje de respuestas provenientes de grandes organizaciones, con más de 1000 empleados. Agregando a las anteriores las entidades con 500 o más empleados, se completa más del la mitad de la muestra. Sigue en cantidad de respuestas un número importante de empresas de menos de 50 empleados, provenientes en su mayoría del área de Consultoría Especializada. Dependencia organizacional del Área de Seguridad Informática Dependencia jerárquica del área Porcentaje Director Departamento de Sistemas/Tecnología 38% Director de Seguridad Informática 31% Auditoria interna 7% Gerente Ejecutivo 7% Comíté Ejecutivo Directorio Tercerizada en otra empresa Pág. 7

8 Dependencia jerárquica del área Porcentaje Mesa Directiva No especificado formalmente 7% Áreas con responsabilidad en seguridad de la información Gerente Ejecutivo 7% Tercerizada en otra empresa Mesa Directiva No especificado formalmente 7% Auditoria interna 7% Comíté Ejecutivo Directorio Director Departamento de Sistemas/Tecnologí a 39% Director de Seguridad Informática 3 Comentarios generales: Las respuestas muestran que un mayor número de entidades mantienen sus áreas de Seguridad Informática bajo dependencia del Sector de Tecnologías de Información. Sin embargo, muy cerca le sigue un grupo que ya ha separado ambas funciones, acompañado por un porcentaje no menor que ubica a la seguridad informática bajo dependencia directa de la máxima autoridad ejecutiva de la organización, del Comité Ejecutivo o del Directorio. Un porcentaje muy pequeño terceriza la función en otra empresa, mientras que un siete por ciento reconoce no haber especificado formalmente las responsabilidades en la materia. Este último porcentaje es preocupante a la luz de que la mayoría de las organizaciones que han respondido son grandes. Pág. 8

9 Cargos que ocupan quienes respondieron la encuesta Cargo en la organización Porcentaje Director/Jefe de Seguridad de la información 31% Auditor Interno/Externo 21% Profesional de Departamento de Sistemas/Tecnología Profesional del Departamento de Seguridad Informática Asesor/Consultor externo Presidente/Gerente General Administrador de Sistemas Controller de Seguridad de la Información Coordinador de área Director/Vicepresidente Gerente Consultor Jefe de Seguridad Informática OSI (Oficial de Seguridad Informática) Product Manager Cargo en la organización Director/Jefe de Seguridad de la información Auditor Interno/Externo 3 Profesional de Departamento de Sistemas/Tecnología Profesional del Departamento de Seguridad Informática Asesor/Consultor externo Presidente/Gerente General 2 Administrador de Sistemas Controller de Seguridad de la Información Coordinador de area Comentarios generales: El mayor porcentaje de profesionales que respondieron la encuesta se ubica en áreas directamente vinculadas a la Seguridad de la Información, ya sea como sus principales responsables o como empleados en esa unidad. Agrupando las distintas funciones referidas, se llega a casi un 50% del total de las respuestas. Siguen auditores internos o externos, encontrándose este último valor seguramente influenciado por la participación del Capitulo local de ISACA, muchos de cuyos socios realizan tareas vinculadas a la auditoría de sistemas. Le siguen profesionales con distinto nivel de responsabilidad en las áreas de TI, correspondiendo el resto a otras áreas de la organización, la mayoría de ellas de nivel directivo. Puede afirmarse que la circunstancia de que la mayoría de las Pág. 9

10 respuestas provengan de personal de área de Seguridad Informática o bien auditores, personal de TI o directivos, aporta valor en cuanto a la calidad de las respuestas, debido a la información específica que éstos manejan. 2. Presupuesto Presupuesto asignado a Seguridad Informática Esta sección incluye dos preguntas del cuestionario relacionadas entre sí: si el presupuesto global de la organización asignado a informática incluye aspectos de seguridad de la información y en caso afirmativo, qué porcentaje representa. Presupuesto incluye Seguridad de la Información Porcentaje Si 88% No 1 Considerando las respuestas afirmativas: Porcentaje del Presupuesto de TI asignado Porcentaje Entre el 0 y el 3 Entre el 3 y el 24% Entre el 6 y el 8% 16% Entre el 9 y el 11% 8% Más del 11% 8% No informa 8% Pág. 10

11 Porcentaje del Presupuesto de TI destinado a seguridad de la información 40% 3 30% 2 20% 1 0% 3 Entre el 0 y el 24% Entre el 3 y el 16% Entre el 6 y el 8% 8% 8% 8% Entre el 9 y el 11% Más del 11% No informa Comentarios generales: Resulta alentador encontrar que un alto porcentaje de respuestas afirmativas frente a la pregunta de si el presupuesto asignado a TI incluye partidas específicas para el Área de Seguridad de la Información. Este hecho es auspicioso ya que implica un mayor control de los recursos asignados a la protección de los activos de información de la organización, así como un reconocimiento de la importancia del área. Sin embargo, a la segunda pregunta referida al porcentaje del presupuesto de TI asignado a la seguridad informática, la mayor proporción de respuestas se concentró alrededor de los porcentajes más bajos, resultando que menos del le asigna un porcentaje mayor al 11%. Estos niveles parecen escasos, a la luz de que, como se vio en secciones anteriores, dentro de los sectores más significativos se encontraban el bancario y el gubernamental, siendo ambos usuarios intensivos de las Tecnologías de la Información, sobre los que basan una parte importante de sus servicios. Destino de la inversión en Seguridad Informática En esta sección se muestran las respuestas a dos preguntas relacionadas con los presupuestos anuales, según el siguiente orden: Presupuesto en dólares americanos asignado a seguridad informática durante el 2009: gastos, hardware, software, asesorías y sueldos Proyección del presupuesto total, expresado en dólares americanos, previsto para seguridad informática durante el 2010: gastos, hardware, software, asesorías y sueldos Presupuesto 2009 Porcentaje Menos de USD$ % Entre USD$ y USD$ % Pág. 11

12 Presupuesto 2009 Porcentaje Entre USD$ y USD$ Entre USD$ y USD$ Entre USD$ y USD$ % Más de USD$ % Presupuesto de Seguridad Informática para el año 2009 Menos de USD$50.000; 50% Entre USD$ y USD$70.000; 14% Entre USD$ y USD$90.000; Entre USD$ y USD$ ; Entre USD$ y USD$ ; 7% Más de USD$ ; 24% Proyección Presupuesto 2010 Porcentaje Menos de USD$ % Entre USD$ y USD$ % Entre USD$ y USD$ Entre USD$ y USD$ Entre USD$ y USD$ Más de USD$ % Pág. 12

13 Proyección del Presupuesto 2010 para Seguridad Informática Menos de USD$50.000; 50% Entre USD$ y USD$70.000; 14% Entre USD$ y Entre USD$ y USD$90.000; USD$ ; Entre USD$ y USD$ ; Más de USD$ ; 26% Comentarios generales: En ambos casos, se plantean coincidencias en cuanto a las magnitudes registradas en los extremos. Así, tanto para la pregunta referida al presupuesto del año 2009 como a la proyección para 2010, la mitad de las respuestas se sitúan bajo los US$ , seguidas de un 2 en cifras que superan los US$ En este último caso, se da una leve diferencia a favor de lo previsto para el corriente año. Resulta desalentador que no se prevean mejorías en cuanto a los presupuestos asignados al área de seguridad de la información, considerando las mayores exigencias regulatorias en la materia y el nivel estratégico de la seguridad de la información para la prestación de los servicios basados en Tecnologías de la Información. 3. Fallas de Seguridad Nivel de Concientización En esta sección se presentan las respuestas a dos preguntas vinculadas al reconocimiento del valor de la información como un activo de la organización. Las preguntas consideradas son: Reconocimiento de la información como un activo a proteger por parte del personal de la organización. Nivel de concientización en la entidad respecto a la seguridad informática (buenas prácticas de seguridad, comunicaciones, redes y seguridad en internet) Reconocimiento de la información como activo a proteger Porcentaje Muy conscientes 21% Algunas personas son conscientes 67% Nadie es consciente Pág. 13

14 Reconocimiento de la información como activo a proteger Porcentaje No sabe/no contesta Reconocimiento del valor de la Seguridad Informática en la organización 67% 21% Muy conscientes Algunas personas son conscientes Nadie es consciente No sabe/no contesta Reconocimiento en la organización Porcentaje Si 5 Solo algunas personas 48% Reconocimiento de la información como activo en la organización 5 48% Si Solo algunas personas Pág. 14

15 Comentarios generales: Se aprecia entre las respuestas frente a esta pregunta que solo un 21% considera que el personal en su organización es muy consciente del valor de la información como activo a proteger, mientras que el mayor porcentaje de respuestas se concentra alrededor de la consideración de que sólo algunas personas reconocen su importancia. Sin embargo, debe destacarse que en el otro extremo, es decir entre quienes directamente no le atribuyen valor, se encuentra un porcentaje mínimo de respuestas, escasamente significativo. En cuanto al nivel de concientización en la entidad respecto a la seguridad informática, reflejado en la aplicación de buenas prácticas de seguridad, comunicaciones, redes y seguridad en internet, el nivel de repuesta es parejo en cuanto a que prácticamente la mitad de quienes respondieron considera que si existe conciencia mientras que otro tanto entiende que sólo algunas personas tienen esta percepción. El resultado agregado de las respuestas a estas dos preguntas demuestra la necesidad de seguir trabajando en la concientización del personal de la organización, en todos sus niveles, con el fin de que comprendan la importancia que la información tiene para su funcionamiento y, consecuentemente, se le asignen recursos de acuerdo a la importancia que tiene. Cantidad y Tipos de Fallas de Seguridad En esta sección se incluyen dos preguntas de la encuesta vinculadas a la cantidad y tipo de falla de seguridad. Cantidad de Intrusiones 2009 Porcentaje Ninguna 24% Entre % Entre 4 7 Más de 7 17% No responde 7% Cantidad de intrusiones registradas en el % 24% 17% 7% Entre 1-3 Entre 4-7 Más de 7 Ninguna No responde Pág. 15

16 Tipo de incidentes Porcentaje Fraude 7% Suplantación de identidad Pérdida de información 14% Pérdida de integridad Negación del servicio Caballos de troya Robo de datos 7% Virus 50% Material o datos alterados 19% Hacking de página Web Fuga de Información 17% Espionaje Phishing 1 Accesos no autorizados al web 14% Instalación de software no autorizado 4 Manipulación de aplicaciones de software 14% Ninguno 14% Distribución por tipo de incidentes Ninguno Manipulación de aplicaciones de Instalación de software no autorizado Accesos no autorizados al web Phishing Espionaje Fuga de Información Hacking de página Web Material o datos alterados Virus Robo de datos Caballos de troya Negación del servicio Pérdida de integridad Pérdida de información Suplantación de identidad Fraude 7% 14% 14% 14% 1 17% 19% 7% 14% 4 50% 0% 20% 40% 60% Comentarios generales: En principio es importante mencionar que la pregunta respecto de los tipos de intrusiones solicitaba elegir todas las respuestas aplicables, de modo que la sumatoria en porcentaje no totaliza el como en las tablas anteriores. De las respuestas obtenidas es posible observar que aproximadamente la mitad de los encuestados ha tenido entre 1 y 3 intrusiones, seguidas en orden de magnitud por la ausencia de intrusiones. Por otro lado, los tipos de incidentes más frecuentes son la instalación de software no autorizado y los ataques de virus. Es de destacar que el resto de los incidentes se Pág. 16

17 divide en dos franjas, una de aproximadamente el 1 y otra de alrededor del, según el tipo. Detección, notificación y principales preocupaciones respecto de los incidentes Bajo este título se engloban tres preguntas de la encuesta, a saber: De qué manera se detectó el incidente A quién se le notificó Si se decide no denunciar el incidente de seguridad, cuáles son los motivos o principales preocupaciones? Cabe señalar que las tres preguntas permiten elegir todas las respuestas aplicables. En consecuencia, como en el caso anterior, los valores en porcentajes no suman 100. Tipo de detección Porcentaje Análisis de registros de auditoría/sistema de archivos/registros Firewall 50% Sistema de detección de intrusos 21% Alertado por un cliente/proveedor 17% Alertado por un colega 19% Notificación de un empleado/colaborador 40% Error en respuesta No hubo Tipo de detección No hubo Error en respuesta Notificación de un empleado/colaborador Alertado por un colega Alertado por un cliente/proveedor Sistema de detección de intrusos Análisis de registros de auditoría/sistema de 19% 17% 21% 40% 50% 0% 20% 40% 60% A quien se notifica Porcentaje Asesor legal 21% Autoridades locales/regionales Equipo de atención de incidentes 38% Pág. 17

18 A quien se notifica Porcentaje Ninguno: No se denuncian 26% Varios 19% Receptores de la notificación Varios Ninguno: No se denuncian 19% 26% Equipo de atención de incidentes Autoridades locales/regionales 38% Asesor legal 21% 0% 20% 40% Principales preocupaciones Porcentaje Pérdida de valor de accionistas 14% Publicación de noticias desfavorables en los medios/pérdida de imagen 38% Responsabilidad legal 19% Motivaciones personales 21% Vulnerabilidad ante la competencia 17% Varios 19% Principales preocupaciones Varios Vulnerabilidad ante la competencia Motivaciones personales Responsabilidad legal Publicación de noticias desfavorables en los Pérdida de valor de accionistas 19% 17% 21% 19% 14% 38% 0% 20% 40% Pág. 18

19 Comentarios Generales Se observa que el 50% de los encuestados sigue usando los controles detectivos habituales como es el análisis de logs. Por su parte, sorprende encontrar que el 40% haya sido alertado por un empleado o colaborador y que existe otro 36% que es alertado por otros mecanismos, no especificados en la pregunta. Por otro lado, si bien el 38% manifiesta contar con un equipo de atención de incidentes, es muy alto el porcentaje de quienes no toman acción alguna, alcanzando el 26%, lo cual resulta desalentador. Llama la atención que un 31 % opte por derivar a áreas legales/autoridades, que sólo debieran intervenir una vez que se haya realizado la gestión técnica y confirmado el posible impacto. Respecto de las principales preocupaciones, cabe mencionar que el mayor porcentaje, 69%, tienen que ver con el negocio (imagen/valor ante accionistas) mientras que es bajo respecto de la responsabilidad legal. 4. Herramientas y prácticas de seguridad Evidencia digital Bajo esta sección se resumen las respuestas a dos preguntas vinculadas a la evidencia digital, referidas a la conciencia que existe en las organizaciones respecto a la necesidad de identificarla, asegurarla y analizarla como parte del proceso de atención de incidentes de seguridad informática y a si se cuenta con un procedimiento aprobado y verificado al respecto. Reconocimiento de importancia de evidencia digital Porcentaje No 17% Si 64% No sabe/no contesta 19% Pág. 19

20 Procedimiento formal para evidencia digital Porcentaje No 56% Si 44% Comentarios generales: Resulta alentador encontrar que un porcentaje importante de respuestas mostraron que existe conciencia en las organizaciones respecto a la importancia de la evidencia digital en el proceso de atención y gestión de incidentes de seguridad. Sin embargo, de las respuestas positivas obtenidas en la pregunta anterior, menos de la mitad manifestó contar con un procedimiento formal para el tratamiento de la evidencia digital. Cantidad de Pruebas de Seguridad Cantidad de pruebas de seguridad al año Porcentaje Ninguna 1 Una al año 38% Entre 2 y 4 al año 33% Más de 4 al año No responde 1 Pág. 20

21 Cantidad de pruebas de seguridad informática en un año 40% 30% 20% 0% 1 38% Ninguna Una al año 33% 1 Entre 2 ymás de 4 No 4 al año al año responde Consideraciones Generales Una de las acciones requeridas por los sistemas de gestión de la seguridad de la información es el monitoreo. Esta actividad es por demás importante ya que es la única manera de corroborar la efectividad de los controles aplicados. Siendo ésta una función que hace pocos años atrás aún no había formalizado los procesos requeridos para considerarla administrada, es importante encontrar que aproximadamente el 70% de los encuestados ejerce acciones de monitoreo. Mecanismos para proteger los sistemas de información Mecanismos de protección Porcentaje Smart Cards 24% Biométricos 21% Antivirus 83% Contraseñas 81% Cifrado de datos 5 Filtro de paquetes 43% Firewalls Hardware 67% Firewalls Software 5 Firmas digitales/cetificados digitales 5 VPN/IPSec 60% Proxies 57% Sistemas de detección de intrusos IDS 43% Monitoreo 7x24 24% Sistemas de prevención de intrusos IPS 36% Administración de logs 43% Web Application Firewalls 29% Pág. 21

22 Mecanismos de protección Porcentaje Monitoreo de Bases de Datos 21% ADS (Anomaly detection systems) 7% Herramientas de validación de cumplimiento con regulaciones internacionales 1 AntiSpam Mecanismos de protección AntiSpam Herramientas de validación de cumplimiento con regulaciones internacionales ADS (Anomaly detection systems) Monitoreo de Bases de Datos Web Application Firewalls Administración de logs Sistemas de prevención de intrusos IPS Monitoreo 7x24 Sistemas de detección de intrusos IDS Proxies VPN/IPSec Firmas digitales/cetificados digitales Firewalls Software Firewalls Hardware Filtro de paquetes Cifrado de datos Contraseñas Antivirus Biométricos Smart Cards 1 7% 21% 29% 43% 36% 24% 21% 24% 43% 57% 60% % 43% 5 81% 83% 0% 50% Consideraciones generales Del análisis de las respuestas surge claramente que se mantienen con alto porcentaje de adhesión los mecanismos tradicionales de protección de los sistemas de información, tales como los firewall, proxies, antivirus, contraseñas y filtrado de paquetes. También tienen un porcentaje bastante alto algunos mecanismos más novedosos como los sistemas de detección de intrusiones (IDS), el cifrado de datos, firma digital/certificados digitales y VPE/IPSec. El resto, entre los que se incluye sistema de prevención de intrusos, monitoreo 7x24, monitoreo de bases de datos, etc. se manifiesta en porcentajes inferiores al 50%. Medios de información respecto de las fallas de seguridad También en este caso es posible elegir todas las respuestas que apliquen. Pág. 22

23 Medios para permanecer informado Porcentaje Notificaciones de proveedores 48% Notificaciones de colegas 43% Lectura de artículos en revistas especializadas 5 Lectura y análisis de listas de seguridad (BUGTRAQ, SEGURINFO, NTBUGTRAQ, etc.) 43% No se tiene este hábito 14% Medios para permanecer informado No se tiene este hábito. 14% Lectura y análisis de listas de seguridad (BUGTRAQ, SEGURINFO, Lectura de artículos en revistas especializadas Notificaciones de colegas 43% 43% 5 Notificaciones de proveedores 48% 0% 20% 40% 60% Consideraciones Generales Es posible notar que más de la mitad de los encuestados se mantiene al día en materia de actualizaciones del conocimiento, a través de revistas especializadas, lo cual refleja un alto interés y profesionalismo. Sin embargo un número casi similar es notificado por proveedores o colegas, lo cual demuestra una actitud pasiva que podría dar lugar a un mayor impacto ante la ocurrencia de incidentes. 5. Políticas de seguridad Estado de las políticas de Seguridad y principales obstáculos para implementarlas Estado de Políticas de Seguridad Porcentaje No se tienen políticas de seguridad definidas Actualmente se encuentran en desarrollo 29% Política formal, escrita documentada e informada a todo el personal 50% No contesta 17% Pág. 23

24 No contesta; 17% Estado de las Políticas de Seguridad No se tienen políticas de seguridad definidas; Actualmente se encuentran en desarrollo; 29% Política formal, escrita documentada e informada a todo el personal; 50% Principales obstáculos para la Seguridad Informática Porcentaje Complejidad tecnológica 7% Falta de apoyo directivo 24% Falta de colaboración entre áreas/departamentos Inexistencia de política de seguridad Falta de tiempo No tenemos ese problema 7% Poco entendimiento de la seguridad informática Poco entendimiento de los flujos de la información en la organización No contesta 24% Principales obstáculos para la Seguridad Informática Complejidad tecnológica Falta de apoyo directivo 23% 7% 23% Falta de colaboración entre áreas/departamentos Inexistencia de política de seguridad Falta de tiempo No tenemos ese problema 7% Poco entendimiento de la seguridad informática Poco entendimiento de los flujos de la información en la organización No contesta Pág. 24

25 Consideraciones Generales Siendo la definición de políticas el escalón fundamental para la efectiva implementación de un programa de seguridad de la información, es preocupante que sólo el 50% de los encuestados manifieste su existencia formal. También es preocupante que el mayor porcentaje de los principales obstáculos, 24%, resida en la falta de apoyo directivo, siendo éste el nivel que lleva la responsabilidad primaria frente al impacto de las acciones resultantes ante fallas en la seguridad informática. Es factible destacar también que otro 30% responde a cuestiones que nada tienen que ver con aspectos tecnológicos, tales como la falta de tiempo, el bajo entendimiento de los flujos de información de la organización, etc. Existencia de relaciones con organizaciones nacionales y/o internacionales para colaborar o recibir asistencia ante incidentes Existen relaciones? Porcentaje Sí 19% No 40% No sabe 24% No responde 17% Existencia de relaciones con organismos 4 40% 3 30% 2 20% 1 0% 40% 24% 19% 17% Sí No No sabe No responde Comentarios generales Del 19% que contestó afirmativamente, correspondiente a 8 organizaciones en total, 6 respondieron que se contactan con ArCERT (CSIRT del Gobierno Argentino) y 1 con otros CERTs, mientras que la restante omitió la respuesta. Pág. 25

26 Estándares y buenas prácticas utilizadas Esta sección refiere a las dos preguntas listadas a continuación: Cuáles son los estándares o buenas prácticas que utiliza en la gestión de seguridad de la información? Consecuente con la pregunta anterior, existe alguna regulación o normativa que le aplique en temas de seguridad de la información? Estándares/Buenas prácticas Porcentaje ISO % Common Criteria Cobit % Magerit Octave Guías del NIST 17% Guías de ENISA (1) 7% Top 20 de fallas de seguridad del SANS OSSTM (2) 7% ITIL 21% Servicios de auditoría externa especializada 19% No se consideran 14% BCRA 4609 Estándares y Buenas Prácticas ISO Common Criteria Cobit 4.1 Magerit Octave Guías del NIST Guías de ENISA (1) Top 20 de fallas de seguridad del SANS OSSTM (2) ITIL Servicios de auditoría externa especializada No se consideran BCRA % 7% 7% 21% 19% 14% 31% 57% 0% 20% 30% 40% 50% 60% (1) European Network of Information Security Agency (2) Open Standard Security Testing Model Pág. 26

27 Respecto de alguna normativa aplicable: Regulaciones que aplican Porcentaje Regulaciones internacionales (SOX, BASILEA II, COSO) 17% Normativas aprobadas por entes de supervisión (Superintendencias, Ministerios o Institutos gubernamentales) 36% Ley de Habeas Data 7% Ninguna 36% No responde Regulaciones que aplican Regulaciones internacionales (SOX, BASILEA II, COSO) 36% 17% Normativas aprobadas por entes de supervisión (Superintendencias, Ministerios o Institutos gubernamentales) Ley de Habeas Data Ninguna 7% 36% No responde Comentarios Generales Se destaca la utilización de los estándares ISO/IEC 27001, CobiT 4.1 e ITIL en ese orden, correspondiendo con los más conocidos y respetados internacionalmente. Respecto de las regulaciones que son aplicables a las organizaciones que han respondido, es llamativo que el 36% señale que no utiliza ninguna, cuando al analizar los sectores participantes se puede ver que están altamente regulados. Por otro lado, sólo el 7% indica la aplicación de la regulación de la Ley de Habeas Data, cuando ésta es de cumplimiento obligatorio para toda organización que administre datos personales en nuestro país. 6. Capital intelectual Cantidad de personal y años de experiencia Cantidad Personal en Seguridad Informática Porcentaje Ninguna 1 a 5 36% Pág. 27

28 11 a 15 7% 6 a 10 Más de 15 19% No contesta 19% Cantidad de personas full time en el área de Seguridad Informática 40% 3 30% 2 20% 1 0% 36% 7% 19% 19% Ninguna 1 a 5 11 a 15 6 a 10 Más de 15 No contesta Años de Experiencia Porcentaje Ninguno Menos de un año de experiencia 60% Uno a dos años 1 No contesta 19% Años de experiencia requeridos para ejercer un cargo en el área de Seguridad Informática 60% 50% 60% 40% 30% 20% 0% Ninguno Menos de un año de experiencia 1 Uno a dos años 19% No contesta Pág. 28

29 Comentarios Generales Respecto de la cantidad de personas dedicadas a la seguridad informática tiempo completo, es posible ver que los extremos tienen el mayor porcentaje. Es decir, entre 1 y 5 y más de 15 personas. Asimismo, es preocupante ver que el 70% tiene menos de un año de experiencia o ninguno. Certificaciones que actualmente poseen quienes trabajan en Seguridad Informática y las que deberían poseer Certificaciones que poseen los profesionales que trabajan en Seguridad de la Información Porcentaje Ninguna 31% CISSP Certified Information System Security Professional 21% CISA Certified Information System Auditor 31% CISM Certified Information Security Manager 21% CIFI Certified Information Forensics Investigator 50% CIA Certified Internal Auditor 20% SECURITY+ Otras 9% Certificaciones de quienes trabajan en Seguridad de la Información Ninguna CISSP - Certified Information System Security Professional CISA - Certified Information System Auditor CISM - Certified Information Security Manager CIFI - Certified Information Forensics Investigator CIA - Certified Internal Auditor SECURITY+ Otras 9% 31% 21% 31% 21% 20% 50% 0% 1 20% 2 30% 3 40% 4 50% Pág. 29

30 Certificaciones que se consideran importantes para desarrollar funciones de seguridad informática Porcentaje CISSP Certified Information System Security Professional 69% CISA Certified Information System Auditor 36% CISM Certified Information Security Manager 48% CFE Certified Fraud Examiner CIFI Certified Information Forensics Investigator CIA Certified Internal Auditor GIAC SANS Institute MCSE/ISA MCP (Microsoft) Security+ 1 Unix/Linux LP1 Certificaciones consideradas importantes para la actividad Unix/Linux LP1 Security+ MCSE/ISA-MCP (Microsoft) GIAC SANS Institute CIA - Certified Internal Auditor CIFI Certified Information Forensics Investigator CFE - Certified Fraud Examiner CISM Certified Information Security Manager CISA Certified Information System Auditor CISSP Certified Information System Security Professional 1 36% 48% 69% 0% 20% 30% 40% 50% 60% 70% Comentarios Generales Si bien con distintos porcentajes y peso relativo, es posible observar que las certificaciones que se destacan son CISSP, CISA y CISM, siendo estas las más conocidas en el mercado profesional específico. Respecto de la correspondiente a CIFI, se observa que el 50% la posee, mientra que sólo el opina que es importante obtenerla. Resulta importante señalar que quienes conducen o tienen responsabilidad sobre el área de seguridad informática apuestan a la formación de los empleados en áreas Pág. 30

31 afines a la actividad como medio para la mejora de la gestión, circunstancia que queda demostrada por la valoración asignada a las certificaciones de las preguntas analizadas. Papel de la Instituciones Educativas Papel de Instituciones Educativas Porcentaje Están ofreciendo programas académicos formales en esta área 36% Hay poca investigación científica en el área Hay poca motivación de los estudiantes para estudiar el tema Hay poca oferta (o nula) de programas académicos en esta área 17% Hay pocas (o nulas) alianzas con proveedores de tecnología de seguridad y/o agremiaciones relacionadas con el tema La formación es escasa y sólo a nivel de cursos cortos 1 Los profesores tienen poca formación académica en el tema No han pensado adelantar programas académicos o cursos cortos en esta área Se han dejado desplazar por certificaciones generales y de producto No contesta 19% Rol de las Instituciones Educativas en materia de Seguridad Informática 19% 36% 1 17% Están ofreciendo programas académicos formales en esta área Hay poca investigación científica en el área Hay poca motivación de los estudiantes para estudiar el tema Hay poca oferta (o nula) de programas académicos en esta área Hay pocas (o nulas) alianzas con proveedores de tecnología de seguridad y/o agremiaciones relacionadas con el tema La formación es escasa y sólo a nivel de cursos cortos Los profesores tienen poca formación académica en el tema No han pensado adelantar programas académicos o cursos cortos en esta área Pág. 31

32 Comentarios Generales Un 36% opina que se están ofreciendo programas académicos mientras que un 17% manifiesta que hay poca oferta o nula, lo cual parece una contradicción. En los últimos años ha aumentado la oferta académica en el área de la seguridad informática en nuestro país, aunque sigue teniendo una gran penetración en el mercado el ofrecimiento de empresas proveedoras e instituciones profesionales que otorgan certificaciones. IV. Conclusión Si bien el presente informe debe ser interpretado a la luz del bajo nivel de respuestas recibidas, configurando así una muestra pequeña de la población convocada originalmente, es posible identificar algunos aspectos que, de acuerdo a nuestra experiencia, caracterizan la situación actual en materia de seguridad informática, a saber: El porcentaje del presupuesto de TI asignado a Seguridad Informática parece ser todavía escaso, teniendo en cuenta la importancia estratégica que la seguridad tiene para una cada vez mayor cantidad de productos y servicios de TI que prestan las organizaciones Frente a las preguntas relativas al reconocimiento de la información como un activo a proteger por parte del personal y al nivel de concientización respecto a la seguridad informática, se aprecian niveles aún bajos, todo lo cual acompaña la necesidad de seguir trabajando en el entrenamiento y en la difusión de la importancia de estos temas en todos los niveles de la organización. Los tipos de incidentes que reflejan un mayor impacto son los ataques de virus, la instalación de software no autorizada y la alteración de información En cuanto a las Políticas de Seguridad, base de cualquier esquema de protección de los recursos de una organización, solo un 50% de quienes respondieron manifiesta contar con versiones formales, documentadas e informadas a todo el personal, siendo los obstáculos más importantes para su despliegue, la falta de apoyo directivo, la escasez de tiempo y la poca comprensión de los flujos de información de la organización. Las certificaciones más apreciadas en las organizaciones continúan siendo CISSP, CISM y CISA, en ese orden. A la luz de futuras encuestas de mayor tamaño, podrán confirmarse los resultados observados en esta convocatoria. En este sentido es esperable que próximas ocurrencias de esta experiencia permitan expandir el universo de respuestas y medir tendencias, posibilitando contar de esta manera con una herramienta de gran utilidad a la hora de tomar decisiones en materia de seguridad informática. Pág. 32